Beruflich Dokumente
Kultur Dokumente
März 2023
Inhalt
Von Bäumen und Wäldern Secorvo News
Security News Secorvo Seminare
Termin-Hack AD = Anno Domini?
Produkthaftung für Software Veranstaltungshinweise
Don’t roll your own crypto Fundsache
TrustPid freigegeben
90-Tage-Zertifikate
Kontrolle ist besser
wird über die Webseite verwaltet. Nach erfolgrei- rung zu verwenden. Sollte sich der Vorschlag durch- dokumentieren – und sich in Niedersachen ansie-
cher Durchführung des Machbarkeitstests soll setzen, wäre das der Anfang vom Ende des Ge- deln. Allerdings prüft die LfDI Niedersachsen gerade
TrustPID nun europaweit eingesetzt werden; dafür schäftsmodells der kommerziellen Zertifikatsanbie- den Gang in die nächste Instanz.
hat die EU-Kommission am 10.02.2023 die wettbe- ter. Zugleich könnte er die Entwicklung von ACME-
werbsrechtliche Freigabe erteilt. Als technische Clients für Plattformen jenseits der verbreiteten Secorvo News
Plattform für digitale Werbung in Europa haben die Betriebssysteme und Webserver (wie Hypervisor,
europäischen Mobilfunkanbieter Orange, Telefónica, Appliances oder IoT-Schnittstellen) beschleunigen – Secorvo Seminare
Vodafone und Telekom ein Gemeinschaftsunter- und so die überfällige Automatisierung der Zertifi-
nehmen mit Sitz in Belgien gegründet. katsaktualisierung zum Standard machen. Machen Sie den ersten Schritt zum BSI Vorfall-
Experten mit unserem Seminar „BSI Vorfall-Experte
Trotz seiner Unzuständigkeit hat sich Ulrich Kelber, – Aufbauschulung“ vom 09. bis 11.05.2023. Oder
Bundesbeauftragter für den Datenschutz und die Kontrolle ist besser
krönen Sie Ihre Qualifikation mit dem T.I.S.P.-
Informationsfreiheit, zu TrustPid geäußert: Zwar Für großes Erstaunen, nicht nur bei der Landes- Zertifikat: Beim vorbereitenden T.I.S.P.-Seminar
erfolge der Einsatz auf der Grundlage einer Einwilli- beauftragten für den Datenschutz Niedersachsen, vom 19. bis 23.06.2023 sind noch Plätze frei.
gung der Nutzer, dennoch sei die besondere Ver- Barbara Thiel, hat die Entscheidung des VG Han-
trauensstellung, die Telekommunikationsanbietern nover vom 09.02.2023 zur ununterbrochenen Über- Das Seminarprogramm und weitere Informationen
zukommt, „nur schwer mit einem Tracking ihrer wachung von Mitarbeitern mit Handscannern bei finden Sie auf unserer Website. Wir freuen uns auf
Nutzerinnen und Nutzer vereinbar“. Außerdem Amazon gesorgt (10 A 6199/20). Obwohl beim Ihre Anmeldung.
müssten potenzielle Gefahren wie die Zusammen- EuGH (Rechtssache C-34/21) gerade die Frage der
führung von pseudonymen Kennungen mit Login- DSGVO-Konformität des § 26 BDSG zur Entschei- AD = Anno Domini?
Daten bei Webdiensten, die eine Re-Identifikation dung ansteht, ist das VG Hannover überzeugt, dass
und die Verknüpfung von Tracking-Daten ermögli- Wie realistisch ist es für Angreifer, mit frei verfüg-
das berechtigte Interesse des Unternehmens hier baren und öffentlichen Informationen Domain-
chen, verhindert werden. Fazit: Besser deaktivieren. die Interessen der Arbeitnehmer überwiegt. Die von Administrator auf einem fremden System zu wer-
Amazon geltend gemachten Zwecke zur Steuerung den? Beim KA-IT-Si-Event am 04.05.2023 in der
90-Tage-Zertifikate der Logistik und der Mitarbeiterqualifizierung sowie Church (CyberForum e.V.) zeigen die Ethical Hacker
zur Schaffung objektiver Bewertungsgrundlagen für von aramido in ihrem Vortrag „In 30 min. zum Do-
Am 03.03.2023 hat das Chromium-Projekt von Feedbackgespräche seien (ge)wichtiger als der per-
Google erneut eine drastische Verringerung der main-Admin“ anhand von realen Bedrohungen, wie
manente Überwachungsdruck auf die Arbeitneh- ein Angreifer auf interne Systeme zugreifen und
Gültigkeiten von Browser-Zertifikaten vorgeschla- mer. Diese wüssten um die Überwachung und
gen (und angekündigt, dies ggf. direkt im Chrome- anschließend die gesamte Infrastruktur überneh-
müssten angesichts der großen Anzahl offener men kann, indem er Domain-Admin-Privilegien
Root-Programm zu verankern): Root-Zertifikate
Stellen auch keine Angst vor Arbeitsplatzverlust erlangt. Dabei wird auch auf mögliche Abwehr-
sollen maximal sieben, CA-Zertifikate bis zu drei haben, wenn sie sich dieser Überwachung nicht
Jahre und öffentliche TLS-Sever-Zertifikate nur maßnahmen und Best Practices für die IT-Sicherheit
aussetzen wollten. Zwar seien einige Punkte wie eingegangen.
noch 90 Tage gültig sein (bei Let's Encrypt ist das
etwa die Speicherdauer grenzwertig, aber letztlich
schon lange Praxis). Mit diesem Schritt sollen CAs könne man sich der Argumentation von Amazon Anschließend gibt es natürlich wieder den fachlichen
dazu gebracht werden, etwa alle fünf Jahre ihre anschließen. und persönlichen Austausch beim „Buffet-Networ-
Infrastruktur auf den aktuellen Stand der Technik
king“. Wir freuen uns auf einen kurzweiligen und
zu bringen – und die Server-Betreiber, automati- Unternehmen, die Überwachungsmaßnahmen pla- interessanten Abend mit Ihnen (zur Anmeldung).
sierte Protokolle wie ACME zur Zertifikatsaktualisie- nen, sollten ihre Motivation plausibel darlegen und
Secorvo Security News 03/2023, 22. Jahrgang, Stand 04.04.2023 3
Veranstaltungshinweise
Auszug aus Veranstaltungsübersicht IT-Sicherheit und Datenschutz
April 2023
23.-27.04. Eurocrypt 2023 (IACR, Lyon/FR)
25.-27.04. Datenschutztage 2023 (WEKA, virtuell)
25.-26.04. Security Forum 2023 (Hagenberger Kreis, Hagen-
berg/AT)
Mai 2023
04.05. KA-IT-Si-Event: "AD = Anno Domini?"
(KA-IT-Si, Karlsruhe)
09.-10.05. BvD Verbandstag 2023 (BvD, Berlin)
09.-11.05. BSI Vorfall-Experte - Aufbauschulung
(Secorvo, Karlsruhe)
09.-12.05. Blackhat Asia 2023 (Blackhat, Singapur/ASE)
09.-12.05. European Identity and Cloud Conference 2023 (Kup-
pingerCole, hybrid)
10.-14.05. ISSE 2023 (IEEE, Timisoara/ROU)
10.-11.05. 19. Deutscher IT-Sicherheitskongress (BSI, virtuell)
22.-24.05. Omnisecure 2023 (in TIME berlin, Berlin)
23.-24.05. 24. Datenschutzkongress (EUROFORUM, Berlin)
23.-24.05. IMF 2023 (Fraunhofer-Institut IAO, München)
Fundsache
Am 23.03.2023 hat das BSI eine neue Technische Richtlinie (TR 03145-5)
mit Anforderungen an den sicheren Betrieb von Public Key Infrastruktu-
ren für technische Sicherheitseinrichtungen veröffentlicht (26 Seiten).
Impressum
Secorvo Security News – ISSN 1613-4311
Redaktion: Dirk Fox (Editorial), Christian Blaicher, Stefan Gora, Kai Jendrian,
Hans-Joachim Knobloch, Oliver Oettinger, Friederike Schellhas-Mende, Jo-
chen Schlichting
Herausgeber (V. i. S. d. P.): Dirk Fox,
Secorvo Security Consulting GmbH
Ettlinger Straße 12-14
76137 Karlsruhe
Tel. +49 721 255171-0
Fax +49 721 255171-100
Zusendung des Inhaltsverzeichnisses: security-news@secorvo.de
(Subject: „subscribe security news“)
Wir freuen uns über Ihr Feedback an redaktion-security-news@secorvo.de
Alle Texte sind urheberrechtlich geschützt. Jede unentgeltliche Verbreitung
des unveränderten und vollständigen Dokuments ist zulässig. Eine Verwen-
dung von Textauszügen ist nur bei vollständiger Quellenangabe zulässig.